Unveiling JsOutProx: A New Enterprise Grade Implant

Introduction

During our threat intelligence source monitoring operations, we spotted a new sophisticated malware implant that seems to be unrelated to mainstream cyber weapons. In fact, the recovered sample raised many interrogatives into the malware research community due to the extensive  usage of obfuscation anti-reverse techniques, hardening the investigative efforts. 

For this reason, we decided to dig into this piece of malware and figure out its inner secrets, uncovering a modular architecture with advanced offensive capabilities, such as the presence of functionalities able to deal with multi factor authentication (MFA).

Technical Analysis

Hash6bf0d9a7ca91f27a708c793832b0c7b6e3bc4c3b511e8b30e3d1ca2e3e2b90a7
ThreatJsOutProx
Brief DescriptionMalicious JS file
Ssdeep12288:9jAtRUr07Jo0W9vrd6ye8hKaVimlc+/eHFca7 +mJO1Za6D4aYQZdV81u34YYbga0:RAO07JbAvrsype6lZTv

Table 1. Sample information

The starting point is a Javascript file containing more than ten thousand lines of heavily obfuscated code. 

The first line of this file embeds a huge array of Base64 encoded elements, but its raw decoding led only to other incomprehensible data, evidencing the presence of a more complex layer of protection.

Figure 1. Array with Base64 encoded elements.

Navigating the code, we identified a series of instructions resembling a sort of initialization that grabbed our attention. The function “t_ey” is used as deobfuscation function for some of the  string chucks preconfigured into the “t_ep” array, enabling us to recover some cleartext.

This initial code cleanup revealed interesting information such as some of the static configuration initialized during the initial malware execution stages. Among these info, we recovered also its remote C2 address 91.189.180.199, operated by “ServeTheWorld”, an Norwegian provider renting his servers in Oslo, and a particular tag reporting the name “JsOutProx”. Extremely characteristic.

Figure 2. Initialization of basic malware information.

Continuing to analyze the code, we reconstructed the approach used by the attacker to obfuscate the payload: all the necessary information has been encrypted, splitted, and then encoded in Base64 chunks stored into different structures named as “ta”, “t_ep”, “t_eq”.

Figure 3. Other structures containing Base64 data.

As anticipated before, thanks to the decoding routine “t_ey” it is possible to retrieve at runtime the cleartext code to reify the structure of the malware, stored in the “t_fT” object visible in the next figure.

Figure 4. Core structure of the malware.

The structure contains objects and functions used by the malware to pursue its malicious actions. In many cases we noticed a naming correspondence between couples of objects, for example between “Outlook” and “OutlookPlugin”, or “Proxy” and “ProxyPlugin” objects. This indicates the malware has a modular structure containing specific plugins able to perform a wide range of actions, such as exfiltrate data by populating the associated object. For example, the "OutlookPlugin" is able to steal information about emails and contacts and it does that by filling the Outlook object shown in the previous figure.

Each plugin embeds an obfuscated function named “receive”, which has the purpose to perform the specific action. This function name is constant and represent a sort of common interface between malware modules.

Figure 5. “receive” function into “InfoPlugin”.

Check-in and Command List

Once created the main structure, the first function ran by the malware is “init”. It is designed to create an identification string for the victim machine, gathering from system information and storing them into the “t_fT[“ID”]” variable

As visible the next picture, the identification string is composed using the computer name, username, OS version. Then, an additional suffix will be appended to it containing the current action the malware is performing. In this specific case it is “ping”, a sort of heartbeat to make sure the command and control services is up and running.

Figure 6. Creation of victim ID.

Then, the malware moves in an endless loop in which it invokes the “receive” function every 5 seconds. Substantially, this function is an interface that allows the attacker to interact with the implant.

The malware, in fact, connects to the C2 and retrieves a string indicating the next command to execute into the “np[0x0]” variable. It has many capabilities and it able to handle a complete infection life-cycle. It can update itself, restart itself, execute another JavaScript code, other VB scripts and even remove its traces.

Figure 7. Switch structure with supported commands.

Summing up, the analyzed version of the implant supports the following actions:

CommandAction
updUpdate the implant
rstRestart the implant
l32Start another process with the same script
dcnKill the implant
rbtReboot the machine
shdShutdown the machine
lgf??
ejsEvaluate Javascript code
epg??
evbExecute VisualBasic code
idn??
sdnLoad a .NET dll
uisUninstall the implant
insInstall the implant
int.gSend the sleep time to C2
int.sUpdate the sleep time

Table 2. Supported commands.

Additionally, the default case of the main loop structure includes a series of IF-Else evaluating the received string in order to check for specific prefixes. Each prefix is associated to a plugin module.

Figure 8. Invocation of plugins.

Analyzing this selection chain was possible to reconstruct the full list of supported plugin for this version of the implant.

CommandPlugin
prProcessPlugin
clClipboardPlugin
fiFilePlugin
lbLibraryPlugin
doDownloadPlugin
scScreenPlugin
ouOutlookPlugin
pxProxyPlugin
cnShellPlugin
tkTokensPlugin
inInfoPlugin
dsDnsPlugin
pmPromptPlugin

Table 3. Malware’s plugins.

At this point, all the attention moves on understand what the functions and the plugins do and how they work. So, we provide, in the next paragraphs, a brief view of the most interesting functions and plugins.

Persistency

By the way, to ensure its survival after reboot, the malware writes a copy of the initial JS script into the “%appdata%” and “%temp%” folder, setting the persistence on the system through the popular “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” registry key.

Figure 9. Setting of persistence.

Plugin Modules

The number of supported plugin indicates the malware is pretty mature and extremely dangerous. Some of these supported plugins encode standard functionalities of many RAT and recon malware, but some of them hides interesting and even uncommon features. 

The “Process” Plugin

The ProcessPlugin is able to manipulate other processes running in the system. It can kill them by PID and by name, create new processes through WSH or WMI and also collect a memory dump of a specific process. This is an uncommon feature for a common malware, it might indicate operators behind its command and controls could have analytical skills in order to investigate the surrounding environment, or also exfiltrate data through memory scraping.

Figure 10. Part of ProcessPlugin code.

The “Dns” Plugin

The DnsPlugin handles the machine’s DNS configuration. It can send to the C2 the current configuration and also set a new one, just like visible in the following screen.

Figure 11. Part of DnsPlugin code.

The “Token” Plugin and the Object SymantecVIP 

This plugin is particularly interesting. The name refers to the exfiltration of some type of token. However, the plugin is specifically designed for the theft of SymantecVIP One Time Password, the multifactor authentication technology used in enterprise grade Single-Sign-On services adopted in many corporate environments.

Figure 12. Part of TokenPlugin code.

The “Outlook” Plugin

Instead, the OutlookPlugin weaponize the implant with common information stealing capabilities enabling the attackers to gather account information and contact list.

The interesting part of this plugin is that it is the only one info-stealing plugin embedded in the malware.

Commodity malware typically include support to multiple email clients, web browsers and ftp clients, but this one just handle Outlook: the de facto standard email client installed in the majority of enterprise environment.

Figure 13. Part of OutlookPlugin code.

The “Prompt” Plugin

Another interesting functionality is provided by the PromptPlugin. It empowers the attacker to present his victim a custom message prompt provided by the command and control server.

Figure 14. Part of PromptPlugin code.

The Bridge Between JS and .NET

All the JavaScript plugins seem to be only an high-level interface used by the attacker to communicate with his implant. Digging into the code to search for the implementation of the plugins, we come across another mysterious component named “DotUtil” which seems to be the link between the JavaScript interface and the implementation of the actual operations. 

Also, digging the JS code, a method called “hasDotnet” made us wondering about the existence of additional .NET artifacts which may hide the implementation of some of the above-mentioned functionalities. Moreover, this method contains references to the download and the memory loading of an instance of a “DotUtil” module.

Figure 15. Part of DotUtil module.

Dynamically analyzing the malware, we were able to intercept the download of a .NET DLL called “libDotJs.dll”. Analyzing it, we discover a complete mapping between the functions implemented in it and the ones declared into “DotUtil” component. 

Figure 16. Mapping between DotUtil and .NET DLL.

From a wider perspective, we can assert with a good confidence that the implant is composed of at least two different layers: the JavaScript interface, delivered to the target machine as first stage and subject to continuous changes to lower its detectability, providing the core mechanism to ensure a flexible access to the target machine, and an advanced functional layer leveraging .NET dependencies. 

Figure 17. Macro perspective of the malware composition.

Conclusion

The complexity and the engineering grade of this threat, dubbed JsOutProx, are an element of uniqueness in the current panorama. It is a toolkit with peculiar remote access capabilities. From an architectural point of view, JsOutProx contains all the function prototypes inside the core engine and could be remotely extended at run time. 

The implementation of its functionalities has been decoupled from the JavaScript core using shared interfaces realized through the “dotUtil” class, the loader of its NET plugins. These classes are provided remotely through serialization, this decoupling provides a malleable modular implementation enabling the implant operators to a versatile code management. 

Another relevant aspect of JsOutProxy is the capability to deal with SymantecVIP technology. This led us to think that, this implant, has been designed to hit High-Value targets. Also, this new threat appears emerging during these days, it has never been publicly seen before this December and it is probably still under development.

Cybaze-Yoroi Zlab will continue to actively hunt for it.

Indicator of Compromise

Hashes:

C2:

Yara Rules

rule JsOutProx_Dec_2019{
	meta:
  	description = "Yara Rule for JsOutProx"
  	author = "Cybaze Zlab_Yoroi"
  	last_updated = "2019-12-19"
  	tlp = "white"
  	category = "informational"

	strings:
   	 $re1 = /,'([0-9a-zA-Z])+=',/
	 $re2 = /[a-zA-Z]{1}_[a-zA-Z]{2}\[0x/
   	 $a1 = "WScript"
	 $a2 = "0x"
    condition:
   	 $re1 and $a1 and #a2>20000 and #re2>1000
}

This blog post was authored by Antonio Farina, Luca Mella and Antonio Pirozzi of Cybaze-Yoroi Z-LAB

Importanti Vulnerabilità in Equipaggiamento Siemens

Proto: N051219.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di importanti vulnerabilità negli equipaggiamenti Siemens SPPA-T3000, application server utilizzati nei sistemi di controllo distribuito in ambienti SCADA ed infrastrutture critiche nel settore Energetico. 

Ricercatori di terze parti hanno infatti individuato 19 vulnerabilità nel codice dei dispositivi SPPA-T3000 e 35 nel Migration Server MS3000. Le falle scoperte costituiscono un rischio di sicurezza in quanto rendono possibile ad attaccanti con visibilità di rete di eseguire codice arbitrario, ottenere hash di credenziali, forzare reset password, caricare file arbitrari ed accedere a servizi amministrativi senza autenticazione, rendendo possibili accessi abusivi, manomissioni e sabotaggi.

Siemens ha confermato le problematiche per tutte le versioni “MS3000 Migration Server” ed “SPPA-T3000 Application Server” attraverso il bollettino SSA-451445, nel quale ha rilasciato il service pack “SPPAT3000 Service Pack R8.2 SP1” in grado di risolvere le falle.

Considerata la potenziale criticità dei dispositivi afflitti e la relativa semplicità di sfruttamento delle vulnerabilità in oggetto, Yoroi consiglia di pianificare l’applicazione degli aggiornamenti resi disponibili dal Produttore e di restringere quanto più possibile l’accesso ai segmenti di rete dove risiedono i dispositivi Siemens MS3000 e SPPA-T3000, e di monitorare eventuale traffico anomalo verso le porte 80/TCP, 8090/TCP, 8095/TCP, 8080/TCP, 1099/TCP, 5010/TCP, 8888/TCP, e 7061/TCP di questi dispositivi.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Nuovi Attacchi Ursnif in Corso "GLS-Italy"

Proto: N041219.

Con la presente Yoroi desidera informarLa riguardo a nuovi attacchi in corso verso le aziende italiane. Le email fraudolente in circolazione tentano di simulare comunicazioni provenienti da noti Corrieri Espresso, al loro interno sono però presenti allegati Excel infetti appositamente studiati per attivarsi su PC di utenti italiani.

Figura. Esempio documento Malevolo

Questi documenti sono usati per inoculare una variante malware della famiglia Ursnif nelle macchine bersaglio, minaccia in grado di installare ulteriori agenti malevoli, intercettare il traffico di rete, rubare password e credenziali salvate. 

Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Nuova Ondata di Attacchi Ursnif

Proto: N031219.

Con la presente Yoroi desidera informarLa riguardo ad una nuova ondata di attacchi ai danni di aziende ed organizzazioni italiane. Gli attacchi si manifestano con email fraudolente a tema legale create per invitare la vittima a scaricare ed aprire archivi contenenti codici malevoli VBScript, utilizzati dai cyber criminali per inoculare malware della famiglia Ursnif (TH-196) all’interno delle macchine bersaglio. 

Il malware in questione è stato inoltre digitalmente firmato con certificati validi. Pertanto risulta molto pericoloso per via delle sue capacità evasive, anche a causa dello sfruttamento di servizi cloud Sharepoint per la distribuzione del malware.

Figura. Firma digitale Eseguibile Malevole

Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Grave Vulnerabilità in Sistemi OpenBSD

Proto: N021219.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una importante vulnerabilità all’interno delle tecnologie basate sul sistema operativo OpenBSD, utilizzato come base per la realizzazione di sistemi embedded, dispositivi e servizi di rete oltre che appliance di sicurezza. La criticità è nota con  l’identificativo CVE-2019-19521.

La problematica è causata da lacune nella gestione dei parametri di autenticazione all’interno della libreria “libc” di sistema. Stando al bollettino pubblicato dai ricercatori, la circostanza può essere sfruttata sia localmente che da remoto per accedere ai sistemi bypassando ogni eventuale autenticazione

La falla può quindi permettere accessi abusivi remoti per via dell’utilizzo di funzionalità di autenticazione vulnerabili in servizi di sistema come “ldapd”, di autenticazione RADIUS "radiusd" e di posta elettronica "smtpd".

Il Manutentore ha confermato la problematica e rilasciato opportune patch di sicurezza per OpenBSD 6.6, incorporandole nella codebase della versione stabile del sistema operativo.

Per via della disponibilità di dettagli tecnici atti a riprodurre la criticità e la potenziale esposizione di servizi affetti (e.g. servizi di posta e di autenticazione radius), Yoroi consiglia di monitorare la disponibilità di aggiornamenti per Prodotti e Dispositivi basati su OpenBSD all’interno della Vostra infrastruttura, richiedendo ai relativi Vendor informazioni sullo stato di vulnerabilità delle relative tecnologie. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Tecnologie Fortinet Vulnerabili a “TCP SACK panic attack”

Proto: N011219.

Con la presente Yoroi desidera informarLa riguardo ad alcuni importanti aggiornamenti rilasciati da Fortinet per vari suoi prodotti, tra i quali gli appliance perimetrali FortiGate

Le problematiche presenti nei firmware Fortinet sono note con l’alias TCP SACK: lacune nella gestione della memoria nelle funzionalità di Selective Acknowledgement (SACK) dello stack-TCP di sistema, sfruttabili da attaccanti di rete privi di autenticazione per generare condizioni di disservizio (Rif. Early Warning N060619).

Fortinet ha recentemente rilasciato il bollettino di sicurezza FG-IR-19-180 nel quale indica come potenzialmente affette le famiglie di prodotto FortiAnalyzer, FortiAP, FortiSwitch e FortiGate, suggerendo l’aggiornamento alle versioni:

Considerate le tipologie di dispositivi afflitti ed il potenziale impatto di eventuali attacchi, unite alla disponibilità di dettagli tecnici ed alla potenziale esposizione delle tecnologie vulnerabili, Yoroi consiglia di pianificare l'installazione degli aggiornamenti messi a disposizione dal Produttore e di valutare l’applicazione dei workaround per Fortiswitch, ovvero la configurazione di valori soglia per il parametro Maximum Segment Size, e per FortiGate, abilitando la signature IPS “Linux.Kernel.TCP.SACK.Panic.DoS“.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Grave Vulnerabilità in Servizi FortiGuard

Proto: N051119.

Con la presente Yoroi desidera informarLa riguardo ad una gravissima vulnerabilità all’interno dei servizi di sicurezza FortiGuard, utilizzati dagli appliance basati su FortiOS (FortiGuard Web Filter, AntiSpam, AntiVirus) e dagli agenti FortiClient per Windows e Mac. La criticità è nota con l’identificativo CVE-2018-9195.

La problematica risiede nell’uso di cifratura debole nei protocolli di comunicazione tra appliance e agenti verso i servizi cloud FortiGuard. Ricercatori di terze parti hanno scoperto che le chiavi di cifratura utilizzate per mettere in sicurezza questi flussi di comunicazione sono preconfigurate, “hardcoded”, ed il protocollo di cifratura risulta un semplice XOR, primitiva crittografica inidonea alla protezione di comunicazioni sensibili.

La mancata protezione dei flussi di rete verso i servizi cloud FortiGuard rende possibili agli attaccanti l’esecuzione di scenari di attacco di tipo Man-in-the-Middle (MitM) e di intercettazione del traffico. Tali circostanze possono comportare:

Il Produttore ha confermato la problematica con il bollettino FG-IR-18-100, con il quale ha reso disponibili aggiornamenti di sicurezza per le versioni:

Per via della gravità della problematica e della relativa facilità di sfruttamento per attaccanti con accessi alle reti locali o globali, Yoroi consiglia caldamente di pianificare l’applicazione delle patch di sicurezza rese disponibili dal Produttore.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Ondata di Attacchi “Sollecito Pagamento”

Proto: N041119.

Con la presente Yoroi desidera informarLa riguardo a nuovi attacchi diretti contro utenti ed Aziende italiane. I messaggi inviati dai cyber-criminali simulano il sollecito di pagamento di ipotetiche fatture insolute da parte di provider di servizi, i quali invitano le vittime a visionare documenti Excel in allegato. Qualora aperti, gli allegati sono in grado di infettare la macchina bersaglio con malware della famiglia Ursnif, capace di  intercettare traffico di rete, trafugare credenziali ed installare ulteriore malware. 

Figura. Esempio Documento Malevolo

Di seguito si riportano gli indicatori di compromissione individuate durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Campagna di Attacco “Nuovo Documento”

Proto: N031119.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi ai danni di utenti ed Aziende italiane. Gli attacchi si manifestano attraverso messaggi di posta fraudolenti su tematiche amministrative di fatturazione, i quali invitano le vittime ad aprire link remoti volti allo scaricamento ed all’installazione di malware della famiglia Ursnif: capaci di trafugare credenziali, intercettare traffico di rete ed installare ulteriore malware. 

La campagna risulta particolarmente pericolosa in quanto la variante malware utilizzata è firmata digitalmente con certificati crittografici validi. La firma digitale apposta sull’eseguibile rende la minaccia più insidiosa in quanto potrebbe essere ignorata da alcuni sistemi perimetrali ed agenti antivirus.

Figura. Firma Digitale del Malware

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Vulnerabilità in Tecnologia AcuToWeb

Proto: N021119.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una vulnerabilità all’interno della tecnologia AcuToWeb di Micro Focus, nota software house specializzata in soluzioni software basate su dialetti del linguaggio COBOL, utilizzato in ambienti bancari ed in grandi organizzazioni.

Ricercatori indipendenti hanno infatti segnalato la presenza di una vulnerabilità di tipo "directory traversal" all’interno del servizio web di AcuToWeb (porta di default http/3000), attraverso il quale un attaccante di rete può scaricare file arbitrari dal sistema bersaglio senza alcuna autenticazione, reperendo così informazioni sensibili su configurazioni di servizio, chiavi di cifratura e credenziali utente utili ad ulteriori accessi abusivi.

La criticità risulta affliggere la versione 10.2 di AcutoWeb. Il Produttore non ha al momento rilasciato alcun bollettino a riguardo. Tuttavia, secondo le dichiarazioni del ricercatore, risulta aver confermato la problematica, in risoluzione con la versione 10.3 il cui rilascio è previsto nel mese corrente.

Considerata la tipologia di ambienti e sistemi potenzialmente afflitti dalla problematica, e la relativa semplicità di sfruttamento, Yoroi consiglia di restringere l’accesso ai servizi AcuToWeb alle sole porzioni di rete fidate, di monitorare la disponibilità di aggiornamenti da parte di Micro Focus e di investigare la presenza di eventuali anomalie legate ad attività di rete sospette dirette ai servizi AcuToWeb vulnerabili.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Aggiornamento 2019/11/15

Fonti legate a Micro Focus hanno confermato che la problematica è già stata trattata dal Produttore e che ha già reso disponibili le patch ai propri clienti. Pertanto si consiglia l'applicazione degli aggiornamenti disponibili.

0-Day in Google Chrome

Proto: N011119.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una grave vulnerabilità all’interno del browser web Google Chrome. La criticità è nota con l’identificativo CVE-2019-13720.

La problematica è originata da lacune nella gestione della memoria all’interno delle componenti Audio del browser, attraverso le quali un attaccante remoto può eseguire codice arbitrario ed installare malware sulla macchina bersaglio a seguito della navigazione su portali malevoli o compromessi. Ciò rappresenta una condizione di rischio in quanto la criticità può essere utilizzata in scenari di attacco Watering-Hole ed Exploit-Kit.

I ricercatori di Kaspersky indicano inoltre che la vulnerabilità è stata utilizzata in attacchi zero-day, referenziati come "Operation WizardOpium". Non è al momento possibile attribuire questa operazione di attacco a gruppi APT noti, tuttavia, i ricercatori hanno notato possibili similarità con i modus operandi di “DarkHotel”, minaccia APT legata agli ambienti Nord Coreani.

Il Manutentore ha pubblicato un apposito bollettino di sicurezza rilasciando opportune patch di sicurezza a partire dalla versione 78.0.3904.87 di Chrome. Gli aggiornamenti sono disponibili sia per Windows, sia per Mac e Linux, pertanto Yoroi consiglia di installare gli aggiornamenti del browser.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Intensificazione Minacce R-DoS

Proto: N041019.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una recente intensificazione di attività di attacco ai danni di Organizzazioni e Aziende operanti nei settori Finanziari, Intrattenimento e Retail. Nella fattispecie legate a richieste di riscatto a fronte della minaccia di attacchi Denial Of Service (R-DoS).

Ricercatori di terze parti hanno riportato attività emergenti operate da un gruppo criminale che, spacciandosi per il noto APT “Fancy Bear”, minaccia di isolare le reti delle vittime tramite attacchi DoS, richiedendo il pagamento di un riscatto in bitcoin. 

Figura. Esempio Richiesta di Riscatto.

Le informazioni reperite indicano che i cyber-criminali sono in realtà in possesso di strumenti e botnet atti a portare attacchi Distributed Denial of Service nell’ordine delle decine di Gbps. In particolare, risultano utilizzate tecniche di amplificazione su protocolli UDP quali:

Tipicamente, il gruppo criminale lancia i suoi attacchi contro gli indirizzi internet possieduti dell’Organizzazione, non limitatamente ai suoi servizi web esposti. Per questo Yoroi suggerisce di verificare se le eventuali protezioni DDoS in uso coprono opportunamente i sotto-domini e le infrastrutture IT in uso.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index